Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configuration d'OCI Identity and Access Management en tant que source SSO pour la plate-forme de commandes Rapid7

Introduction

Oracle Cloud Infrastructure (OCI) est la plate-forme de cloud computing d'Oracle qui offre un ensemble complet de services cloud, y compris le calcul, le stockage, la mise en réseau, les bases de données et la gestion des identités. OCI est conçu pour les applications traditionnelles et les nouveaux workloads natifs du cloud, offrant évolutivité, sécurité et performances à différents niveaux de service. OCI prend également en charge un système robuste de gestion des identités et des accès (IAM) qui inclut des fonctionnalités telles que SAML afin d'activer l'accès avec connexion unique (SSO) pour une sécurité et un confort utilisateur améliorés. La fédération d'identités basée sur SAML d'OCI permet aux entreprises de s'intégrer à des fournisseurs d'identités externes, en rationalisant l'accès des utilisateurs sur diverses ressources OCI.

Rapid7 est l'un des principaux fournisseurs de solutions de cybersécurité, se concentrant sur la détection des menaces, la gestion des vulnérabilités et la réponse aux incidents. Avec des outils tels que InsightIDR et InsightVM, Rapid7 permet aux entreprises de détecter et de gérer les vulnérabilités de leur infrastructure, y compris les environnements cloud. La fonctionnalité d'intégration SAML de Rapid7 simplifie l'authentification en permettant aux entreprises de se connecter à des fournisseurs d'identités tels qu'OCI. Cette connexion offre aux utilisateurs des fonctionnalités d'accès avec connexion unique, ce qui améliore la sécurité en réduisant la dépendance aux mots de passe, tout en permettant un accès transparent aux outils et informations de sécurité de Rapid7.

Ce tutoriel présente les tâches de configuration d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) en tant que source d'accès avec connexion unique (SSO) pour la plate-forme de commande Rapid7 à l'aide du langage d'annotation d'assertion de sécurité (SAML) 2.0. Vous pouvez ainsi utiliser OCI IAM pour gérer l'authentification utilisateur pour la plate-forme de commande Rapid7.

Public

Professionnels OCI IAM et administrateurs Rapid7.

Objectifs

• L'intégration d'OCI à Rapid7 via SAML permet aux entreprises de tirer parti des fonctionnalités de gestion des identités d'OCI tout en garantissant un accès sécurisé à la plate-forme de sécurité de Rapid7. Cette configuration améliore l'expérience utilisateur via SSO et prend en charge des pratiques de sécurité plus strictes en centralisant la gestion des identités sur les deux plates-formes. Elle permet aux équipes informatiques et de sécurité de gérer efficacement les identités, de suivre l'accès et d'améliorer l'état de sécurité dans leurs environnements cloud et de sécurité.

Prérequis

• Accès administrateur à une location OCI et à la plate-forme de commandes Rapid7.

Tâche 1 : configurer les paramètres SSO dans la plate-forme de commande Rapid7

Dans cette tâche, nous allons configurer les paramètres SSO à l'aide de SAML 2.0 dans la plate-forme de commande Rapid7.

1. Pour accéder aux paramètres SSO, procédez comme suit :

   1. Accédez à la page d'accueil de la plate-forme de commandes Rapid7 et cliquez sur le lien Administration.

   2. Cliquez sur l'icône des paramètres.

   3. Cliquez sur Paramètres d'authentification et Paramètres SSO.

   

2. Sélectionnez Autre dans le menu déroulant Sélectionner votre fournisseur d'identités (IdP).

   

   Remarque : nous chargerons le certificat IdP ultérieurement à la fin de la tâche 2.

3. Copiez l'URL ACS (Assertion Consumer Service), les URL Audience (EntityID) et Relay State. Une fois que vous avez terminé, passez à la tâche 2.

   

4. Copiez l'ID d'entité et l'URL SingleSignOnService à partir des métadonnées téléchargées dans la tâche 2 et utilisez-les respectivement dans URL d'émetteur et URL d'accès avec connexion unique dans la section Plate-forme Insight configurée.

   

   

   Remarque : le format de l'URL d'accès avec connexion unique est https://idcs-##############.identity.oraclecloud.com/fed/v1/idp/sso.

5. Téléchargez le certificat IdP.

   

6. Configurez un profil d'accès par défaut auquel les nouveaux utilisateurs doivent être affectés. Une fois que vous avez configuré ce profil d'accès par défaut, il est automatiquement affecté à tous les comptes utilisateur créés via OCI IAM. L'accès aux comptes utilisateur existants ne sera pas affecté.

   

   

   

7. Activez la synchronisation de groupe d'utilisateurs IdP. La synchronisation des groupes OCI IAM avec la plate-forme de commande Rapid7 permet à OCI IAM de régir l'appartenance des groupes d'utilisateurs de la plate-forme de commande Rapid7. Les utilisateurs OCI affectés à des groupes IdP sont automatiquement affectés aux groupes d'utilisateurs correspondants dans la plate-forme de commande Rapid7. Les utilisateurs affectés de cette manière héritent de tous les droits d'accès de produit, de rôle et de données définis tant qu'ils restent dans le groupe IdP d'origine.

   

   

8. Cliquez sur Oui pour activer SSO via IdP externe.

   

9. Cliquez sur Télécharger pour télécharger les métadonnées du processeur de service.

   

10. Extrayez X509Certificate pour créer un fichier .pem.

    

Tâche 2 : création d'une application SAML dans les domaines d'identité OCI IAM

Nous allons créer une application SAML dans les domaines d'identité OCI IAM respectifs. Cela est nécessaire pour établir un lien de communication sécurisé entre OCI IAM et la plate-forme de commandes Rapid7 à l'aide du protocole SAML 2.0 pour SSO.

1. Connectez-vous à la console OCI, accédez à Identité et sécurité et cliquez sur Domaines.

   

2. Sélectionnez votre domaine, cliquez sur Applications intégrées pour Ajouter une application, sélectionnez Application SAML et cliquez sur Lancer le workflow.

   

3. Entrez le nom, l'état du relais de l'application, puis cliquez sur Suivant.

   

4. Dans la section Configurer l'accès avec connexion unique, entrez l'ID d'entité, l'URL du consommateur d'assertion, le format d'ID de nom Non spécifié, la valeur d'ID de nom Nom utilisateur et téléchargez le certificat de signature téléchargé à partir de la console Rapid7.

   

   Remarque : une fois SSO configuré dans la plate-forme de commande Rapid7, le certificat peut être extrait des métadonnées téléchargées.

5. Dans la section Configurations supplémentaires, sélectionnez Inclure le certificat de signature dans la signature et désélectionnez Activer la déconnexion unique. Conservez l'autre paramètre par défaut.

   

   Remarque : sélectionnez ou désélectionnez la fonction Activer la déconnexion unique en fonction de vos besoins. Pour activer la fonction, les URL d'objectif de niveau de service doivent être ajoutées dans le champ correspondant.

6. Utilisez la configuration suivante dans la section Configuration d'attribut.

   

   Remarque : les instructions d'attribut suivantes dans l'image sont obligatoires pour l'authentification auprès de la plate-forme de commandes Rapid7.

7. Cliquez sur Fin et sur Activer pour terminer la configuration.

8. Téléchargez le certificat de signature et les métadonnées du fournisseur d'identités. Une fois terminé, revenez à la tâche 1.4 et continuez.

   

Tâche 3 : synchronisation de groupe

La synchronisation de groupe vous permet de contrôler l'affectation de groupe d'utilisateurs à partir d'OCI IAM.

Cette fonctionnalité est rendue possible par l'inclusion d'un attribut dans la réponse SAML libellé rbacGroups qui contient les noms des groupes de plate-forme de commande Rapid7 pour chaque utilisateur. Les utilisateurs seront automatiquement affectés aux groupes correspondants dans la plate-forme de commande Rapid7 et hériteront de l'accès au produit, au rôle et aux ressources associés à ces groupes.

Remarque : lorsque nous avons activé la synchronisation de groupe, les utilisateurs IdP sont enlevés des groupes de plate-forme de commande Rapid7 qui ne sont pas inclus dans leur assertion SAML. Les utilisateurs IdP conservent les rôles ou droits d'accès qui leur sont affectés directement, y compris ceux d'un profil d'accès par défaut.

Pour créer des groupes d'utilisateurs dans la plate-forme de commande Rapid7, accédez à Administration, à Gestion des utilisateurs et cliquez sur Groupes d'utilisateurs.

Tâche 4 : configurer des groupes d'utilisateurs

Comme la synchronisation de groupe nécessite l'utilisation de groupes d'utilisateurs de la plate-forme de commande Rapid7, il est important que vous ayez configuré des groupes avant de l'activer.

1. Ajoutez l'attribut de groupe. Dans OCI IAM, nous devons nous assurer que les utilisateurs sont affectés à des groupes portant le même nom que le groupe d'utilisateurs de plate-forme de commande Rapid7 correspondant. Si vous n'avez pas encore créé ces groupes, procédez comme suit :

   1. Dans la console des domaines d'identité OCI, accédez à Groupes.

   2. Cliquez sur Créer un groupe.

   3. Entrez le même nom que le groupe d'utilisateurs Rapid7 Command Platform correspondant.

   4. Dans la section Utilisateurs, sélectionnez les utilisateurs à affecter à ce groupe.

   5. Cliquez sur Créer.

   Une fois vos groupes configurés, vous devez ajouter un attribut à l'assertion SAML contenant les noms des groupes auxquels chaque utilisateur est affecté.

2. Ajoutez l'attribut à votre assertion SAML dans les domaines d'identité OCI IAM.

   1. Dans la console OCI OCI Identity Domains, accédez à Applications intégrées et sélectionnez l'application Rapid7.

   2. Cliquez sur Modifier la configuration SSO dans la section Paramètres SAML.

   3. Ajoutez l'instruction d'attribut suivante et cliquez sur Enregistrer.

   

   Toutes les informations dont nous avons besoin de votre instance OCI IAM pour synchroniser les utilisateurs avec les groupes d'utilisateurs de la plate-forme de commande Rapid7 sont désormais incluses lorsque les utilisateurs s'authentifient à l'aide de SSO.

Tâche 5 : tester SSO

1. Accédez à l'URL Insight Rapid7 (https://insight.rapid7.com) et cliquez sur Se connecter avec SSO.

   

2. Entrez les informations d'identification.

   

   Vous êtes maintenant connecté à la plate-forme de commandes Rapid7.

   

   L'utilisateur est également ajouté automatiquement aux groupes d'utilisateurs en fonction de l'appartenance au groupe dans OCI IAM.

Remerciements

• Auteurs - Gautam Mishra (architecte cloud principal)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Configure OCI Identity and Access Management as a SSO Source for the Rapid7 Command Platform

G18860-01

November 2024

Copyright ©2024,

Oracle et/ou ses affiliés.